LAPS Konfiguration - AllowedPrincipals?

[andrew 15]

Hallo zusammen

 

Ich habe in meiner Testumgebung gemäss diesem Artikel hier LAPS eingerichtet.
Im Gegensatz zum Artikel hat ich beim Berechtigen der Gruppen beim Parameter -AllowedPrincipals  die Gruppe so angegeben"GL-LAPS_ServerAdmin_W" und nicht "NetbiosnameDerDomain\GL-LAPS_ServerAdmin_W"

 

Wenn ich dann gemäss diesem Artikel hier mit dem Befehl wie in diesem Beispiel hier Find-LapsADExtendedRights -Identity "OU=Devices,DC=Contoso,DC=com" prüfe, welcher User bzw. AD Gruppe auf der OU Computers berechtigt ist, das Default Beuilt-In Administrator Passwort auszulesen, wird mir nicht die konfigurierte AD Gruppe, welche ich brerechtigt habe, angezeigt, sondern: {NT AUTHORITY\SYSTEM, IT-NetX\Domain Admins}

 

Daraus muss ich schliessen, dass die Konfiguration nicht greift?

Auch zu erwähnen ist, als ich auf meinem DC mit Server 2022 (ich habe 2 DCs mit Server 2022) das ganze gemäss dem oben erwähnten Blog durchgespielt hatte und dann merkte, dass das Auslesen des Windows integrierten, lokalen Administrator Passworts nicht funktioniert, verwendete ich auch den Befehl gemäss diesem Beispiel hier Find-LapsADExtendedRights -Identity "OU=Devices,DC=Contoso,DC=com" und erhielt dann in PowerShell eine Fehlermeldung mit dem Hinweis, ob ich den bereits den Befehl Update-LapsADSchema bereits ausgeführt hätte?

 

Nun, in dem Artikel hier fand ich diesen Befehl nicht, da war die Rede von Update-AdmPwsADSchema

 

Hat Jemand eine Idee, was bei mir schief läuft?

 

cheers
Andrew

[cj_berlin 1.137]

Moin, 

 

alles, was *Laps* heißt, bezieht sich auf das neue LAPS, das nur. Bestandteil von Windows ist. Musst oder möchtest Du das Legacy Laps nutzen, sind *AdmPwd* Cmdlets Deine Freunde.

[andrew 15]

Was ich will ist, dass die lokalen Administrator Passwörter immer nach einem bestimmten Zeitraum geändert werden und in das AD geschrieben werden.

Dan fand ich heraus, dass LAPS folgendes heisst: Local Administrator Password Solution und genau das tönt ja, nachdem wo ich suche?

 

darum habe ich im Internet die neuste LAPS MSI Datei heruntergeladen und gemäss Artikel wie ich schon erwähnte, LAPS versucht einzurichten.

 

wie weiter?

 

cheers

André

[testperson 1.534]

Hi,

 

dann entscheide dich doch als nächstes, ob du das "neue", native LAPS oder das alte, legacy LAPS (AdmPWD) einsetzen möchtest (Windows LAPS overview | Microsoft Learn). Vermutlich wird es bei dir dann auf das native LAPS rauslaufen.

 

Gruß

Jan

[andrew 15]

Hallo Jan

 

Ich habe mich für die LAPS native Variante/ Version entschieden.
Folglich habe ich sowohl auf dem Windows 11 22H2 und auf dem Server 2022 21H2 das zuvor heruntergeladene und installierte LAPS msi Paket wieder deinstalliert.

 

Danach hatte ich alle Powershell Befehle nochmals erneut ausgeführt, weil ich merkte, dass das LAPS Powershell Befehl Set in der native Variante nicht das gleiche ist, wie bei der LAPS Legacy Variante, soweit, so gut.

 

Das heisst, ich habe meine Umgebung so konfiguriert, wie in diesem Artikel hier mit dem Unterschied, dass ich die im Artikel verwendeten Befehl durch die PS Befehle für die nativ Variante ersetzte.

 

Kurz: in meiner Tetumgebung habe eine AD Gruppe, welche ich für Clients verwende  (um das lokale Buil-In Administrator Passwort auf den Clients auslesen, reseten und überwachen zu können) und eine AD Gruppe, mit welcher ich das PW des lokalen Administrator Passworts auf den Servern auslesen könnte.

 

Was ich aber nicht verstehe ist folgende Situation:

Find-LapsADExtendedRights -Identity "OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch"| fl

 

Ausgabe

ObjectDN             : OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch
ExtendedRightHolders : {NT AUTHORITY\SYSTEM, IT-NetX\Domain Admins, IT-NetX\GL-LAPS_ClientAdmin_R, IT-NetX\GL-LAPS_ClientAdmin_W}

 

Soweit, so gut.
Nun wollte ich auf meinem Windows 11 PC testen, ob ich für den lokalen, installierten, Built-In Administrator das Passwort auslesen kann und startete Powershell zuerst mit lokalen Administratoren Rechten (mit einem zweiten User, welcher auch lokale Administratoren Rechte auf meinem NB hat)

 

Dann setze ich folgende Zeilen ab

$CredLAPS_Client = Get-Credential
  Get-LapsADPassword -Identity PRO-NB02 -Credential $credLAPS_Client

Ausgabe

ComputerName        : PRO-NB02
DistinguishedName   : CN=PRO-NB02,OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch
Account             :
Password            :
PasswordUpdateTime  : 24.08.2023 20:49:49
ExpirationTimestamp : 31.08.2023 20:49:49
Source              : EncryptedPassword
DecryptionStatus    : Unauthorized
AuthorizedDecryptor : IT-NetX\Domain Admins



PS C:\>

 

Anhand dieser Ausgabe stellt man fest, dass meine, zuvor gesetzte Konfiguration nicht funktioniert hat, verstehe nicht, wieso?

 

Auch wenn ich nun auf meinem DC via Powershell (ausgeführt mit Administratoren Rechte) folgende Zeile eingebe, also nochmals explizit via Powershell definierte, dass auf der OU Computers ich explizit die AD Gruppe IT-NetX\GL-LAPS_ClientAdmin_R zum Auslesen des lokalen Administrator Passworts konfiguriere und wieder erneut prüfe, ob die Vergabe der Berechtigung klappte, stehe ich am gleichen Punkt.

 

Mit dieser PS Zeile hatte ich das Auslesen für die Client AD Gruppe erneut konfiguriert

Set-LapsADReadPasswordPermission -Identity "OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch" -AllowedPrincipals "IT-NetX\GL-LAPS_ClientAdmin_R"

 

Ausgabe

Name      DistinguishedName
----      -----------------
Computers OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch

 

Danach die Berechtigungen prüfen

Get-LapsADPassword -Identity PRO-NB02 -Credential $credLAPS_Client

Ausgabe

ComputerName        : PRO-NB02
DistinguishedName   : CN=PRO-NB02,OU=Computers,OU=IT-NetX,DC=corp,DC=it-netx,DC=ch
Account             :
Password            :
PasswordUpdateTime  : 24.08.2023 20:49:49
ExpirationTimestamp : 31.08.2023 20:49:49
Source              : EncryptedPassword
DecryptionStatus    : Unauthorized
AuthorizedDecryptor : IT-NetX\Domain Admins



PS C:\>

 

Bemerkung
In der AD Gruppe IT-NetX\GL-LAPS_ClientAdmin_R ist der AD User mit dem Namen LAPS_Client

Diesen hatte ich nach der Eingabe von

 

$credLAPS_Client = Get-Credential

 

beim Fenster, welches aufgepoppt ist und mich aufforderte, einen Benutzernamen anzugeben, auch in der Form IT-NetX\LAPS_Client und dem dazugehörenden PW eingeben.

 

Der Befehl hier 

 

Get-LapsADPassword -Identity PRO-NB02 -Credential $credLAPS_Client

macht auch eine Ausgabe, aber eben, der Punkt AuthorizedDecryptor: IT-NetX\Domain Admins sollte ja nun durch meine Konfiguration ergänzt worden sein und die Ausgabe sollte mir doch anzeigen, dass auch die AD Gruppe IT-NetX\LAPS_Client das Recht hat, das PW auslesen zu dürfen, was aber anscheinend nicht so ist, was läuft hier schief? :-(

bearbeitet 26. August 2023 von andrew

[cj_berlin 1.137]

Moin,

 

Du schreibst nichts zu der Gruppenrichtlinie, die Dein LAPS steuern soll. Magst Du diese mal, am besten mit Screenshots, skizzieren, und auch, ob sie auch laut GPRESULT auf den betreffenden Rechner angewandt worden ist?

[andrew 15]

Saludos cj_Berlin

 

Aber gerne doch.
Anbei ein paar Screenshots - wie gewünscht.

 

 

So, die nächsten Screenshots folgen gleich

und gpresult /r auf meinem NB (von welchem ich prüfen möchte, ob ich das lokale Passwort auslesen kann) lautet

 

[andrew 15]

Wie weiter oben beschrieben, wollte ich mit diesem User hier > LAPS_Client das AD PW des lokalen Administrators auf meinem NB auslesen.
Die Variable $CredLAPS_Client hatte ich wie weiter oben bereits beschrieben, eben mit diesem AD User hier abgefüllt.

 

bearbeitet 26. August 2023 von andrew

[cj_berlin 1.137]

Moin,

 

wenn Du "enable password encryption" einschaltest und "configure authorized decryptors" nicht konfigurierst, welches Verhalten erwartest Du zu sehen?

[andrew 15]

Ja, ich verstehe

Nun habe ich diese AD Gruppe hinterlegt, gpupdate /force ausgeführt plus nochmals den PS Skript zur Kontrolle angestossen, das Resultat ist hier

 

 

[Gipsy 13]

Welchen Update-Stand haben die Clients und Server? 

 

Gibt es im Eventviewer bei weitere Anwendungen einen LAPS Ordner?

 

Falls nicht dann fehlen die Updates.

Falls ja was steht dort?

 

Grüße

Gipsy

 

[andrew 15]

Hallo Gipsy

 

Soll ich immer noch auf deine Frage versuchen, die Antworten liefern zu können?

 

Guckst du zuerst diese Infos hier ;)
Denn ich fand heraus, dass ich grundsätzlich via Powershell das PW auslesen kann, sobald ich einfach Powershell direkt mit den Userrechten aufrufen, welche das Recht haben, das Passwort auslesen zu dürfen.

 

Das PW auslesen kann ich dann nicht, wenn ich Powershell mit irgend einem User starte und den PS Befehl eingebe mit dem Paramter -Credential und auf diese Weise den berechtigen User zum Auslesen des lokalen Administrator Passworts angebe, auf diese Weise funktioniert das Auslesen nicht, warum auch immer.

[Gipsy 13]

Aso entschuldige - ich habe nicht alles gelesen.

 

aus deinem letzten Beitrag war das nicht direkt ersichtlich...

[cj_berlin 1.137]

vor 16 Stunden schrieb andrew:

Denn ich fand heraus, dass ich grundsätzlich via Powershell das PW auslesen kann, sobald ich einfach Powershell direkt mit den Userrechten aufrufen, welche das Recht haben, das Passwort auslesen zu dürfen.

 

Das PW auslesen kann ich dann nicht, wenn ich Powershell mit irgend einem User starte und den PS Befehl eingebe mit dem Paramter -Credential und auf diese Weise den berechtigen User zum Auslesen des lokalen Administrator Passworts angebe, auf diese Weise funktioniert das Auslesen nicht, warum auch immer.

Ein typischer Fall von RTFM, würde ich sagen:

[andrew 15]

Am 28.8.2023 um 08:02 schrieb cj_berlin:

Ein typischer Fall von RTFM, würde ich sagen

 

Was meinst Du damit?